Action
接続イベントまたはセキュリティ インテリジェンス イベントの場合、接続をロギングしたアクセス コントロール ルールまたはデフォルト アクションに関連付けられたアクション。
-
[許可(Allow)] は、明示的に許可されてユーザがバイパスする、インタラクティブにブロックされる接続を表します。
-
[Trust] は、信頼できる接続を表します。最初のパケットが信頼ルールによって検出された TCP 接続のみ、接続終了イベントを生成します。システムは、最後のセッション パケットの 1 時間後にイベントを生成します。
-
[Block] と [Block with reset] は、ブロックされた接続を表します。さらにシステムは、[Block] アクションを、セキュリティ インテリジェンスによってブラックリストに記載された接続、侵入ポリシーによってエクスプロイトが検出された接続、ファイル
ポリシーによってファイルがブロックされた接続と関連付けます。
-
[Interactive Block] と [Interactive Block with reset] は、システムが Interactive Block ルールを使用して最初にユーザの HTTP 要求をブロックしたときにロギングできる接続開始イベントを示します。システムが表示する警告ページでユーザがクリック操作をすると、そのセッションについてロギングするその他の接続イベントは、アクションが
[Allow] になります。
-
[Default Action] は、接続がデフォルト アクションによって処理されたことを示します。
-
セキュリティ インテリジェンスによって監視されている接続の場合、そのアクションは、接続によってトリガーされる最初の監視以外のアクセス コントロール ルールのアクションか、デフォルト アクションです。同様に、モニタ ルールに一致するトラフィックは常に後続のルールまたはデフォルト
アクションによって処理されるため、モニタ ルールによってロギングされた接続に関連付けられたアクションが [Monitor] になることはありません。
ファイル イベントまたはマルウェア イベントの場合、ファイルが一致したルールのルール アクションに関連付けられているファイル ルール アクションと、関連するファイル ルール アクションのオプション。
Allowed Connection
システムがイベントのトラフィック フローを許可したかどうか。
Application
接続で検出されたアプリケーション。
Application Business Relevance
接続で検出されたアプリケーション トラフィックに関連付けられたビジネスとの関連性:[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出されたアプリケーションのタイプごとに、関連するビジネス関連性があります。このフィールドでは、それらのうち最も低いもの(関連が最も低い)が表示されます。
Application Categories
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示すカテゴリ。
Application Risk
接続で検出されたアプリケーション トラフィックに関連付けられたリスク:[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出されたアプリケーションのタイプごとに、関連するリスクがあります。このフィールドでは、それらのうち最も高いものが表示されます。
Application Tag
アプリケーションの機能を理解するのに役立つ、アプリケーションの特性を示すタグ。
Block Type
イベントのトラフィック フローと一致するアクセス コントロール ルールで指定されたブロックのタイプ。[Block] または [Interactive Block]。
Client
接続で検出されたクライアント アプリケーション。
接続に使用されている特定のクライアントをシステムが特定できない場合、このフィールドには汎用的な名称としてアプリケーション プロトコル名の後に client を付加した形で、FTP client などと表示されます。
Client Business Relevance
接続で検出されたクライアント トラフィックに関連付けられたビジネスとの関連性:[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出されたクライアントのタイプごとに、ビジネスとの関連性が関連付けられています。このフィールドは、最も低いもの(関連性が最も低い)を表示します。
Client Categories
クライアントの機能を理解するのに役立つ、トラフィックで検出されたクライアントの特性を示すカテゴリ。
Client Risk
接続で検出されたクライアント トラフィックに関連付けられたリスク:[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出されたクライアントのタイプごとに、リスクが関連付けられています。このフィールドは、最も高いものを表示します。
Client Tag
クライアントの機能を理解するのに役立つ、トラフィックで検出されたクライアントの特性を示すタグ。
Client Version
接続で検出されたクライアントのバージョン。
Connection
内部的に生成されたトラフィック フローの固有 ID。
Connection Blocktype Indicator
イベントのトラフィック フローと一致するアクセス コントロール ルールで指定されたブロックのタイプ。[Block] または [Interactive Block]。
Connection Bytes
接続の合計バイト数。
Connection Timestamp
接続が検出された時刻。
Context
トラフィックが通過したセキュリティ コンテキストを識別するメタデータ。マルチ コンテキスト モードのデバイスでは、システムはこのフィールドにのみ入力することに注意してください。
Denied Connection
システムがイベントのトラフィック フローを拒否したかどうか。
Destination Country and Continent
受信ホストの国および大陸。
Destination IP
受信ホストが使用する IP アドレス。
Destination Port, Destination Port Icode, Destination Port/ICMP Code
セッション レスポンダが使用する宛先ポートまたは ICMP コード。
Disposition
以下のファイル性質のいずれかです。
-
Malware:クラウドがマルウェアとしてファイルを分類したことを示します。
-
Clean は、クラウドでそのファイルがクリーンとして分類されているか、ユーザがファイルをクリーン リストに追加したことを示します。
-
Unknown は、クラウドが性質を割り当てる前にマルウェア クラウド ルックアップが行われたことを示します。ファイルは分類されていません。
-
[Custom Detection] は、ファイルをユーザがカスタム検出リストに追加したことを示します。
-
Unavailable:ASA FirePOWER モジュールがマルウェア クラウド ルックアップを実行できなかったことを示します。この性質で見られるイベントはごくわずかである可能性があります。これは予期された動作です。
-
N/A:ファイル検出またはファイル ブロック ルールがファイルを処理し、ASA FirePOWER モジュールがマルウェア クラウド ルックアップを行わなかったことを示します。
Egress Interface
接続に関連付けられた出力インターフェイス。展開環境に非同期のルーティング設定が含まれている場合は、入力と出力のインターフェイスが同じインターフェイス セットに属する場合があることに注意してください。
Egress Security Zone
接続に関連付けられた出力セキュリティ ゾーン。
Event Microseconds
イベントが検出された時刻(マイクロ秒単位)。
Event Seconds
イベントが検出された時刻(秒単位)。
File Category
ファイル タイプの一般的なカテゴリ(Office ドキュメント、アーカイブ、マルチメディア、実行可能ファイル、PDF ファイル、エンコード ファイル、グラフィック、システム ファイルなど)。
File Event Timestamp
ファイルまたはマルウェア ファイルが作成された日時。
File Name
ファイルまたはマルウェア ファイルの名前。
File SHA256
ファイルの SHA-256 ハッシュ値。
File Size
ファイルまたはマルウェア ファイルのサイズ(KB 単位)。
File Type
ファイルまたはマルウェア ファイルのファイル タイプ(HTMLや MSEXE など)。
File/Malware Policy
イベントの生成に関連付けられているファイル ポリシー。
Filelog Blocktype Indicator
イベントのトラフィック フローと一致するファイル ルールで指定されたブロックのタイプ。[Block] または [Interactive Block]。
Firewall Policy Rules/SI Category
接続でブラックリストに記載された IP アドレスを表すか、もしくはそれを含む、ブラックリストに記載されたオブジェクトの名前。セキュリティ インテリジェンスのカテゴリは、ネットワーク オブジェクトまたはグループ、グローバル ブラックリスト、カスタム
セキュリティ インテリジェンスのリストまたはフィード、またはインテリジェンス フィードのカテゴリのいずれかの名前にできます。[Reason] が [IP Block] または [IP Monitor] の場合にのみ、このフィールドに値が入力されることに注意してください。セキュリティ インテリジェンス イベントのビューでは、エントリに必ず原因が表示されます。
Firewall Rule
接続を処理したアクセス コントロール ルールまたはデフォルト アクションと、その接続に一致した最大 8 つの Monitor ルール。
First Packet
セッションの最初のパケットが検出された日時。
HTTP Referrer
接続で検出された HTTP トラフィックの要求 URL の参照元を示す HTTP 参照元(他の URL へのリンクを提供した Web サイト、他の URL からリンクをインポートした Web サイトなど)。
IDS Classification
イベントを生成したルールが属する分類。ルールの分類名と番号のリストについては、表 1の表を参照してください。
Impact
このフィールドの影響レベルは、侵入データ、ネットワーク検出データ、脆弱性情報との関係を示します。
Impact Flag
「Impact」を参照してください。
Ingress Interface
接続に関連付けられた入力インターフェイス。展開環境に非同期のルーティング設定が含まれている場合は、入力と出力のインターフェイスが同じインターフェイス セットに属する場合があることに注意してください。
Ingress Security Zone
接続に関連付けられた入力セキュリティ ゾーン。
Initiator Bytes
セッション イニシエータが送信した合計バイト数。
Initiator Country and Continent
ルーティング可能な IP が検出された場合の、セッションを開始したホスト IP アドレスに関連付けられた国および大陸。
Initiator IP
セッション レスポンダを開始したホスト IP アドレス(および DNS 解決が有効化されている場合はホスト名)。
Initiator Packets
セッション イニシエータが送信した合計パケット数。
Inline Result
次のいずれかが必要です。
-
黒い下矢印。ルールをトリガーとして使用したパケットをシステムがドロップしたことを示します
-
灰色の下矢印。[Drop when Inline] ポリシー オプション(インライン展開環境)を有効にした場合、またはシステムがプルーニングしている間に [Drop and Generate] ルールがイベントを生成した場合、IPS がパケットをドロップしたことを示します
-
ブランク。トリガーとして使用されたルールが [Drop and Generate Events] に設定されてないことを示します
-
侵入ポリシーのルールの状態またはインライン ドロップ動作にかかわらず、インライン インターフェイスがタップ モードになっている場合を含め、パッシブ展開環境ではシステムはパケットをドロップしないことに注意してください。
IPS Blocktype Indicator
イベントのトラフィック フローと一致する侵入ルールのアクション。
Last Packet
セッションの最後のパケットが検出された日時。
MPLS Label
この侵入イベントをトリガーしたパケットと関連付けられているマルチプロトコル ラベル スイッチング ラベル。
Malware Blocktype Indicator
イベントのトラフィック フローと一致するファイル ルールで指定されたブロックのタイプ。[Block] または [Interactive Block]。
Message
イベントを説明するテキスト。
ルールベースの侵入イベントの場合、イベント メッセージはルールから取得されます。デコーダベースおよびプリプロセッサベースのイベントの場合は、イベント メッセージはハードコーディングされています。
マルウェア イベントの場合は、マルウェア イベントに関連付けられている追加情報。ネットワークベースのマルウェア イベントの場合、このフィールドにデータが入れられるのは、性質が変更されたファイルだけです。
Monitor Rules
その接続で一致する 8 つまでのモニタ ルール。
Netbios Domain
セッションで使用された NetBIOS ドメイン。
Num Ioc
侵入イベントをトリガーとして使用したトラフィックが、接続に関係するホストに対する侵入の痕跡(IOC)もトリガーとして使用したかどうか。
Original Client Country and Continent
元のクライアントの IP アドレスが属する国。この値を取得するために、システムは元のクライアント IP アドレスを X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーから抽出し、それを地理位置情報データベース(GeoDB)を使用して国にマップします。このフィールドに入力するには、元のクライアントに基づいてプロキシ
トラフィックを処理するアクセス コントロール ルールを有効にする必要があります。
Original Client IP
X-Forwarded-For(XFF)、True-Client-IP、またはカスタム定義の HTTP ヘッダーからの、元のクライアント IP アドレス。このフィールドに入力するには、元のクライアントに基づいてプロキシ トラフィックを処理するアクセス
コントロール ルールを有効にする必要があります。
Policy
イベントの生成に関連付けられているアクセス コントロール ポリシー、侵入ポリシー、またはネットワーク分析ポリシー(NAP)(ある場合)。
Policy Revision
イベントの生成に関連付けられているアクセス コントロール ポリシー、侵入ポリシー、またはネットワーク分析ポリシー(NAP)(ある場合)のリビジョン。
Priority
Cisco VRT で指定されたイベントの優先順位。
Reason
次の場合に接続がロギングされた 1 つまたは複数の原因。
-
[User Bypass] は、システムが最初はユーザの HTTP 要求をブロックしたが、ユーザが警告ページでクリック操作をして、最初に要求していたサイトへ進むことを選択したことを示します。[User Bypass] の原因は必ず [Allow]
のアクションとペアになります。
-
[IP Block] は、システムがセキュリティ インテリジェンス データに基づいて、インスペクションなしで接続を拒否したことを示します。[IP Block] の原因は必ず [Block] のアクションとペアになります。
-
[IP Monitor] は、システムがセキュリティ インテリジェンス データに基づいて接続を拒否するはずでしたが、ユーザが接続を拒否せず監視するように設定したことを示します。
-
[File Monitor] は、システムが接続において特定のファイルの種類を検出したことを示します。
-
[File Block] は、ファイルまたはマルウェア ファイルが接続に含まれており、システムがその送信を防いだことを示します。[File Block] の原因は必ず [Block] のアクションとペアになります。
-
[File Custom Detection] は、カスタム検出リストにあるファイルが接続に含まれており、システムがその送信を防いだことを示します。
-
[File Resume Allow] は、ファイル送信がはじめにファイル ブロックまたはマルウェア ブロック ファイル ルールによってブロックされたことを示します。そのファイルを許可する新しいアクセス コントロール ポリシーが適用された後で、HTTP
セッションは自動的に再開しました。この原因は、インライン構成のみで表示されることに注意してください。
-
[File Resume Block] は、ファイル送信がはじめにファイル検出または マルウェア クラウド ルックアップ ファイル ルールによって許可されたことを示します。そのファイルをブロックする新しいアクセス コントロール ポリシーが適用された後で、HTTP
セッションは自動的に停止しました。この原因は、インライン構成のみで表示されることに注意してください。
-
[Intrusion Block] は、接続で検出されたエクスプロイト(侵入ポリシー違反)をシステムがブロックしたか、ブロックするはずだったことを示します。[侵入ブロック(Intrusion Block)] の理由は、ブロックされたエクスプロイトの場合は
[ブロック(Block)]、ブロックされるはずだったエクスプロイトの場合は [許可(Allow)] のアクションと対として組み合わされます。
-
[Intrusion Monitor] は、接続で検出されたエクスプロイトをシステムが検出したものの、ブロックしなかったことを示します。これは、トリガーされた侵入ルールの状態が [Generate Events] に設定されている場合に発生します。
-
コンテンツ制限は、セーフサーチまたは YouTube EDU 機能のいずれかに関連したコンテンツ制限を実施するために、システムがパケットを変更したことを示します。
Receive Times
宛先ホストまたはレスポンダがイベントに応答した時刻。
Referenced Host
接続のプロトコルが DNS、HTTP、または HTTPS の場合、このフィールドにはそれぞれのプロトコルが使用していたホスト名が表示されます。
Responder Bytes
セッション レスポンダが送信した合計バイト数。
Responder Country and Continent
ルーティング可能な IP が検出された場合の、セッション レスポンダのホスト IP アドレスに関連付けられた国および大陸。
Responder Packets
セッション レスポンダが送信した合計パケット数。
Responder IP
セッション イニシエータに応答したホスト IP アドレス(および DNS 解決が有効化されている場合はホスト名)。
Security Group Tag Name
接続に関係するパケットのセキュリティ グループ タグ(SGT)属性。SGT は、信頼ネットワーク内での、トラフィックの送信元の権限を指定します。セキュリティ グループ アクセス(Cisco TrustSec と Cisco ISE の両方に共通の機能)は、パケットがネットワークに入るときに属性を適用します。
Signature
イベントのトラフィックと一致する侵入ルールのシグネチャ ID。
Source Country and Continent
送信元ホストの国および大陸。
Source IP
侵入イベントで送信元ホストが使用する IP アドレス。
Source or Destination
イベントの接続を送信元/宛先とするホスト。
Source Port, Source Port Type, Source Port/ICMP Type
セッション イニシエータが使用する送信元ポートまたは ICMP タイプ。
TCP Flags
接続で検出された TCP フラグ。
URL
セッション中に監視対象のホストによって要求された URL。
URL Category
セッション中に監視対象のホストによって要求された URL に関連付けられているカテゴリ(使用可能な場合)。
URL Reputation
セッション中に監視対象のホストによって要求された URL に関連付けられているレピュテーション(使用可能な場合)。
URL Reputation Score
セッション中に監視対象のホストによって要求された URL に関連付けられているレピュテーション スコア(使用可能な場合)。
User
イベントが発生したホスト(受信 IP)のユーザ
User Agent
接続で検出された HTTP トラフィックから取得したユーザ エージェント アプリケーションの情報。
VLAN
イベントをトリガーしたパケットに関連付けられている最内部 VLAN ID。
Web App Business Relevance
接続で検出された Web アプリケーション トラフィックに関連付けられているビジネスとの関連性:[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出された Web アプリケーションのタイプごとに、ビジネスとの関連性が関連付けられています。このフィールドは、最も低いもの(関連性が最も低い)を表示します。
Web App Categories
Web アプリケーションの機能を理解するのに役立つ、トラフィックで検出された Web アプリケーションの特性を示すカテゴリ。
Web App Risk
接続で検出された Web アプリケーション トラフィックに関連付けられたリスク:[Very High]、[High]、[Medium]、[Low]、[Very Low]。接続で検出された Web アプリケーションのタイプごとに、リスクが関連付けられています。このフィールドは、最も高いものを表示します。
Web App Tag
Web アプリケーションの機能を理解するのに役立つ、トラフィックで検出された Web アプリケーションの特性を示すタグ。
Web Application
トラフィックで検出された Web アプリケーション。